Как часто вы задумываетесь о том, что за каждым вашим шагом в интернете следят? Опустим конспирологов, фриков и прочих помешанных на анонимности в сети и рассмотрим обычного среднестатистического пользователя, который имеет профиль в социальных сетях, закупается на Amazon и вполне спокойно ведет деловую переписку через Gmail. Согласитесь, людей, подходящих под это описание — подавляющее большинство, да и многие из читателей ведут себя так же.
Мы давно смирились с тем, что введенные нами запросы фиксируются Google, Bing, «Яндексом» или другим популярным поисковиком. Мы давно привыкли к тому, что из наших интересов в поиске формируется контекстная реклама товаров или услуг и, возможно, иногда она даже бывает полезна. Мы давно знаем, что любой мало-мальски крупный сервис требует нашего согласия на обработку наших персональных данных, которые мы же добровольно и предоставляем в виде анкет, места жительства и прочей информации. А даже если и не предоставляем — сервис сам получает их по собственным каналам.
Информация о людях — основа бизнеса технологических гигантов. Конечно, торговля информацией о нас происходит в некотором завуалированном виде, в составе массива, но между пользователем и компаниями существует негласный паритет: они нам бесплатный сервис, а мы им возможность привлечь деньги рекламодателей.
Крупные компании никогда не позволяли себе массово вмешиваться в частную жизнь, и даже доступ к переписке на почтовых сервисах означает лишь анализ содержимого по ключевым словам хитрым алгоритмом, а не вычитку текста писем живым человеком.
В свою очередь, правительство США под предлогом борьбы с терроризмом и преступностью все чаще и чаще «именем Закона» требует от интернет-гигантов полного доступа к личной информации пользователя без его ведома. Но в этом случае анализирующий на наличие ключевых слов алгоритм заменяют на вполне живого человека или людей, которые получают доступ к информации в открытом виде.
С чего все началось
По-настоящему проблема «аппетитов» силовых структур США всплыла после судебного постановления, согласно которому компания Apple должна была собственными техническими средствами предоставить ФБР доступ к содержимому iPhone стрелка из Сан-Бернардино, если точнее, создать инструментарий для взлома одного конкретного телефона, который, однако, мог бы в теории использоваться и на других аппаратах.
При всей необходимости получить персональную информацию преступника, виновного в массовом убийстве, ситуация создавала серьезный правовой прецедент. Обо всех деталях той истории с Apple можно почитать тут.
У силовиков по всему миру уже давно есть возможность через суд получить право на обыск жилья подозреваемого, проверить его персональный компьютер и прочие устройства на наличие необходимой следствию информации. Однако, когда к тебе вламываются с обыском — ты конечно же понимаешь, что сейчас твою информацию начнут проверять. В случае же с облачными сервисами, и цифровой информацией вцелом, никакого стука в дверь нет — заинтересованные структуры просто отправляют запрос поставщику услуг и получают желаемое. Оповещение же пользователя о том, что его информация была передана в руки правоохранительных органов остается за судом, чем можно и пренебречь в собственных интересах. Специально для этого еще в 1986 году был принят «Electronic Communications Privacy Act» или закон «О защите информации, передаваемой при помощи электронных систем связи».
ECPA не был чем-то инновационным в момент его принятия в 1986 году. Фактически, данный акт — отредактированная версия схожего документа от 1968 года, в котором закреплялось право на прослушку телефонных разговоров. Когда у спецслужб возникла необходимость получать доступ к новому типу электронных данных, закон был доработан.
Согласно существующей формулировке, ECPA позволяет получить доступ к частным телефонным разговорам, переписке электронной почты и прочим цифровым данным. Достаточно невинная для 1986 года формулировка про «прочие данные» сейчас выглядит достаточно зловеще, учитывая массив этих самых данных в современном мире.
Для получения доступа к информации спецслужбам достаточно отправить повестку, хотя в некоторых случаях необходимо решение суда и ордер на обыск. Учитывая современные реалии, например, такие как «борьба с терроризмом», заградительный инструментарий в виде получения разрешений, заложенный авторами законопроекта, теряет всякий смысл — ордеры будут. При всем этом ECPA позволяет в ряде случаев не информировать пользователя о проведенном «цифровом обыске» и именно против этого, спустя два десятилетия молчания, и выступил коллектив компаний во главе с Microsoft.
Во что это вылилось
Руководствуясь прецедентной ситуацией с требованием к Apple разблокировать iPhone стрелка из Сан-Бернардино, Microsoft в апреле этого года подала иск на Минюст США. В основе формулировки иска лежит утверждение, что подобное положение вещей противоречит четвертой поправке к конституции США (о чем упоминали еще во времена разработки и принятия ECPA) и пользователи, также как и в случае со «стуком в дверь», всегда должны знать о «цифровом обыске» в их облачных данных.
Конечно же, Microsoft вступается, в первую очередь, не за пользователя, хотя и этот момент присутствует, а за собственную репутацию. Являясь резидентом США и подчиняясь законам страны, она просто не может позволить себе понести настолько серьезные репутационные потери, когда осознание ценности персональных данных настолько высоко; рынок цифровых услуг перегрет, и любой негативный резонанс может колыхнуть чашу весов пользовательских предпочтений в сторону менее успешных на данный момент конкурентов. К таким же нехитрым выводам пришли и другие участники рынка и сложилась парадоксальная ситуация: практически все основные технологические, а также многие бизнес-гиганты США присоединились к иску Microsoft против Минюста не желая больше мириться ни со все возрастающими аппетитами спецслужб, ни с ECPA.
Если конкретно, то против «тихих обысков» в облачных данных выступили такие компании, как Google, Amazon, Apple, а также телеканал Fox News и издание Washington Post, нефтяная компания BP и фармацевтическая корпорация Ely Lilly. И это не полный список участников иска к Минюсту США.
Фактически, любая крупная компания имеющая доступ к персональным данным своих клиентов сейчас выступает против ECPA и требований властей США «тихо сливать» информацию по первому требованию. Конечно, побороть государственный аппарат они не могут, но Microsoft задала тон борьбы за право сохранения собственной репутации. Сам текст иска выглядит следующим образом:
В тексте иска Microsoft указывает, что постоянно получает «secret orders», согласно которым пользователи не должны быть оповещены о проверке их файлов и переписки, размещенных на серверах компании (не стоит забывать, что Microsoft один из крупнейших поставщиков частных и корпоративных решений в плане развертывания серверов электронной почты на базе пакета Office). За последние 18 месяцев Microsoft получила 2600 (!) таких «тихих ордеров» на проверку цифровых данных пользователей. Из этих 2600 ордеров почти 2/3 из них — с открытой датой окончания срока действия, то есть, по закону Microsoft никогда не сможет сообщить своим пользователям о проведенном «обыске». Сколько подобных ордеров было получено за весь срок существования компании — остается только догадываться.
Microsoft выделяет два основных момента, исходя из которых текущее положение вещей более неприемлемо. Первое — это резко возросшие аппетиты спецслужб на персональные данные пользователей, а второе — общий уровень повышения секретности проводимых операций. То есть, никто не знает, зачем спецслужбы собирают информацию и как ее используют, а компания при этом обязана молчать согласно полученному ордеру с открытой датой. По мнению юристов Microsoft налицо нарушение первой поправки конституции США.
Также технологический гигант указывает на то, что пункт 2705(b) ECPA, благодаря которому спецслужбы и прочие государственные учреждения могут не оповещать лицо о выдаче ордера на обыск и о прочих документах или повестках, имеет слишком широкую формулировку. Фактически, Microsoft завуалированно обвиняет спецслужбы США в злоупотреблении своим положением и создании законов, удобных для неограниченного вмешательства в частную жизнь граждан.
Абсолютно ясно, что оспорить ECPA целиком частному капиталу не удастся, даже коалиции Microsoft, Apple, Google, Amazon и десятка других компаний. Именно поэтому юристы компании и обратили свой взор на пункт 2705(b) и требуют признать его недействительным в своем исковом заявлении.
Если иск будет удовлетворен, то правительству США придется пользоваться пунктом 2705(a), в котором четко прописаны условия, при которых информация о предоставлении доступа к персональным данным пользователя не может быть разглашена, а также установлен жесткий максимальный срок в 90 дней.
Согласно пункту 2705(а) отсрочка о уведомлении не более 90 дней с момента подачи ордера на предоставлении доступа к данным может быть получена если это:
- ставит под угрозу жизнь или безопасность человека;
- поможет избежать судебного преследования;
- приведет к уничтожению или фальсификации доказательств;
- станет причиной запугивания потенциальных свидетелей;
- серьезно ставит под угрозу или затягивает судебный процесс.
Если спецслужбы США потеряют инструмент в виде пункта 2705(b) и перейдут к практике использования пункта 2705(a), то, фактически, их лишат возможности следить за кем угодно и скрывать свои действия от общественности. Ведь при необоснованном запросе доступа к персональным данным пользователя последний сможет придать действия спецслужб огласке, да и сама процедура выдачи «тихих» ордеров станет намного сложнее.
Технологические компании же, в свою очередь, смогут оградить себя от неуемного любопытства спецслужб и потока бесконечных запросов на предоставление доступа к данным и файлам, который серьезно вредит репутации и ставит под сомнение надежность организации как поставщика услуг.
Автор: ragequit